Server Attacke über php-Skripte
Djekson
- php
HI zusammen,
mein Server bzw. der des PÜrovider ist vor einigen Tagen massiv als Mailversand genutzt worden.
Sprich: Jemand hat irgendwo Malware installiert.
Der Verdacht liegt nache, dass dieses über rigendwelche unsicheren PHOP-Skripte geschah.
Ich bin mir aber nciht sicher, wie das passieren sollte:
Es sind nur einige Skripte auf dem Server, die mit Request-Variablen händeln, diese sind alle vorher bearbeitet.
Die Chmod-rechte der Dateien sollten auch alle stimmen.
Wie kann noch so eine Attacke passieren?
vielen dank, es grüßt der Djekson
Hi,
mein Server bzw. der des PÜrovider ist vor einigen Tagen massiv als Mailversand genutzt worden.
Sprich: Jemand hat irgendwo Malware installiert.
Muss nicht. Ein schlecht abgesichertes vorhandenes Script zum Versenden von Mails kann dazu schon ausreichen.
Es sind nur einige Skripte auf dem Server, die mit Request-Variablen händeln, diese sind alle vorher bearbeitet.
Na dann ist ja alles in bester Butter ...!
Ernsthaft: Auf diese Einschätzung deinerseits kann wohl kaum Verlass sein, wenn dir nicht mal klar ist, wie solche Angriffe aussehen könnten.
Wie kann noch so eine Attacke passieren?
Die Möglichkeiten sind zahlreich.
Die Logfiles zu checken, welche Art von Anfragen an welche Scripte gemacht wurden, wäre der Anfang. Bitte den Provider um Hilfe, wenn du darauf keinen Zugriff oder nicht die nötigen Kenntnisse hast.
MfG ChrisB
ok, ich hätte vielleicht weiter ausholen müssen:
Skripte zum Versand von Mails existieren eigentlich auch nicht.
Diese Möglichkeit war mir auch wohl bekannt.
Ich bin nicht vollkommen unbefleckt was das Thema angeht, ich wollte mir nur i.A. weitere Möglichkeiten anlernen und hoffte dementsprechend auf weiteren Input.
Danke trotzdem...
Ich bin nicht vollkommen unbefleckt was das Thema angeht, ich wollte mir nur i.A. weitere Möglichkeiten anlernen und hoffte dementsprechend auf weiteren Input.
Durchsuche mal das komplette Filesystem nach r57, c99 und c100 - das sind im moment die am häufigsten verwendeten Shell-Scripte, wenn dir jemand etwas unterjubelt.
Danke, bin dabei.
vg Djekson
Hallo!
Ich habe schon einige solcher Attacken bei Kunden beobachtet... einer hatte etwa einen Testaccount mit Nutzername und Passwort test angelegt, ein anderer verwendete ungeprüft eval() in seinen Scripten, wieder ein anderer hatte seine MySQL-Zugangsdaten lesbar in der Seite stehen, noch ein anderer benutzte ftp statt sftp, noch ein anderer hatte seinen Mailserver nicht ausreichend gesichert... die Liste läßt sich fortsetzen.
Grundsätzlich, sobald Du weißt, dass Dein System kompromittiert wurde: alle Nutzer, die unbekannt sind, aus dem System schmeißen, alle Passwörter ändern und die Log-Dateien sichern. Danach erst mal das System in Ruhe auf Veränderungen durchsehen: insbesondere die laufenden Dienste checken.
Gruß, LX
Ok, vielen Dank.
Werde ich mal machen.
Wie kann noch so eine Attacke passieren?
Vorab kann dir eine Software wie z.B. PHPIDS helfen, nachträglich ist das immer schwieriger.
Danke, schaue ich mir an